- Microsoft
Anti-Malware Interfaz de análisis (AMSI): la función de detección de Amsi es una de las más importantes para activar. Asegúrese de que ha anulado la selección del modo de evaluación. Esta opción se encuentra en las opciones ENS Prevención de amenazas, análisis en tiempo real y ENS Protección adaptable frente a amenazas (ATP) (en Real Protect). Para obtener más información sobre Amsi, consulte la sección "cómo la integración de Amsi con prevención de amenazas mejora la" de seguridad en la 10.7 Guía del producto de Endpoint Security. - Autoprotección: Compruebe que la autoprotección está activada en ENS y McAfee Agent.
- Protección con contraseña: Verifique que se haya definido una contraseña para el acceso a la interfaz gráfica de usuario y para la eliminación del producto.
- Global Threat Intelligence (GTI): Establezca GTI en "alto" durante un incidente. A continuación, siga manteniendo GTI en "medio" tras un incidente, y una vez que se alcance el estado estable. Esta configuración se encuentra en las siguientes directivas:
- ENS Prevención de amenazas análisis en tiempo real y análisis bajo demanda
- Opciones de ATP de ENS (en Real Protect)
- Protección de acceso: Cree reglas para cualquier indicador de compromiso (indicadores IOC admitidos) encontrado en el entorno. Por ejemplo, una extensión de archivo que crea ransomware. También se pueden utilizar otras herramientas si existen, como las reputaciones de Threat Intelligence Exchange (TIE).
- instantánea de ePO: Asegúrese de que toma una instantánea de ePO normal, de que se conoce la frase de contraseña y de que se está produciendo la copia de seguridad de SQL. Estas copias de seguridad le ayudan a recuperarse tras una pérdida de ePO. Asegúrese de que se haga una copia de seguridad del almacén de claves si necesita realizar una recuperación manual. En entornos virtuales, una práctica recomendada es realizar una restauración periódica de la base de datos a partir de una copia de seguridad y una reinstalación del servidor de ePO. Esta restauración garantiza la funcionamiento de todo el proceso.
- Cobertura del sistema: Revise los sistemas en busca de actualizaciones y cobertura de productos. Esta revisión es especialmente importante para las reglas de
AMCore contenido y real Protect. Un buen punto de partida es utilizar los paneles predeterminados con la etiqueta comenzar con "Endpoint Security:". - Detección de sensor rogue: Los sistemas no gestionados son perjudicados en un entorno al intentar lograr la contención y la erradicación de una amenaza. Estos sistemas pueden atacar y reinfectar los sistemas restaurados anteriormente. Es importante buscar y solucionar estos sistemas en la red. La detección de Sensor no fiables puede ayudarle con este proceso. Considere la posibilidad de implementarlo en redes de claves.
- Falsos positivos: Dado que todos los entornos difieren, por ejemplo, con aplicaciones internas o distintas soluciones dentro de una red, se producen falsos positivos. Un falso positivo es simplemente una detección que, a continuación, se determina como no malicioso o legítimo. En nuestra experiencia, con estas recomendaciones, en términos generales, el número de falsos positivos experimentados es mínimo. No obstante, se recomienda (como con cualquier otra implementación dentro de un entorno) para monitor y sintonizar según sea necesario.
Prácticas recomendadas para la optimización y el uso de Endpoint Security para evitar incidentes de amenaza y responder a ellos
Última modificación: 2022-07-19 12:42:50 Etc/GMT
Descargo de responsabilidad
Productos implicados
- Best Practices
- Configuration
- Endpoint Security Adaptive Threat Protection
- Endpoint Security Firewall 10.7.x
- Endpoint Security Firewall 10.6.x (EOL)
- Endpoint Security Threat Prevention 10.7.x
- Endpoint Security Threat Prevention 10.6.x (EOL)
- Endpoint Security Web Control 10.7.x
- Endpoint Security Web Control 10.6.x (EOL)
- Threat Prevention and Removal
Idiomas:
Este artículo se encuentra disponible en los siguientes idiomas: